Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Bug Bounty

Bug Bounty

Google Memperluas Bug Bounty ke Proyek Open Source-nya

by

Google pada hari Senin memperkenalkan program bug bounty baru untuk proyek open source-nya, menawarkan pembayaran mulai dari $100 hingga $31.337 (referensi untuk eleet atau leet) untuk mengamankan ekosistem dari serangan rantai pasokan (supply chain).

Disebut Open Source Software Vulnerability Rewards Program (OSS VRP), penawaran ini adalah salah satu program kerentanan khusus open source pertama.

Dengan raksasa teknologi pengelola proyek-proyek besar seperti Angular, Bazel, Golang, Protocol Buffers, dan Fuchsia, program ini bertujuan untuk menghargai penemuan kerentanan yang jika tidak dapat memiliki dampak signifikan pada lanskap open source yang lebih besar.

Proyek lain yang dikelola oleh Google dan dihosting di repositori publik seperti GitHub serta dependensi pihak ketiga yang disertakan dalam proyek tersebut juga memenuhi syarat.

  • Kerentanan yang mengarah pada kompromi rantai pasokan
  • Masalah desain yang menyebabkan kerentanan produk
  • Masalah keamanan lainnya seperti kredensial yang sensitif atau bocor, kata sandi yang lemah, atau instalasi yang tidak aman

Meningkatkan komponen sumber terbuka, terutama perpustakaan pihak ketiga yang bertindak sebagai blok pembangun banyak perangkat lunak, telah muncul sebagai prioritas utama setelah eskalasi yang stabil dalam serangan rantai pasokan yang menargetkan Maven, NPM, PyPI, dan RubyGems.

Kerentanan Log4Shell di perpustakaan logging Java Log4j yang terungkap pada bulan Desember 2021 adalah contoh utama, menyebabkan kekacauan yang meluas dan menjadi seruan untuk meningkatkan status rantai pasokan perangkat lunak.

“Tahun lalu terjadi peningkatan 650% dari tahun ke tahun dalam serangan yang menargetkan rantai pasokan open source, termasuk insiden utama seperti Codecov dan kerentanan Log4j yang menunjukkan potensi destruktif dari satu kerentanan open source,” Francis Perron dan Krzysztof Kotowicz dari Google. dikatakan.

Langkah ini mengikuti program penghargaan serupa yang dilembagakan Google November lalu untuk mengungkap eskalasi hak istimewa dan Kubernetes lolos dari eksploitasi di Kernel Linux. Sejak itu telah menaikkan jumlah maksimum dari $50.337 menjadi $91.337 hingga akhir 2022.

Awal Mei ini, raksasa internet mengumumkan pembuatan “Kru Pemeliharaan Sumber Terbuka” baru untuk fokus pada peningkatan keamanan proyek sumber terbuka yang kritis.

Sumber: The Hackernews

LockBit 3.0 memperkenalkan program hadiah bug ransomware pertama

by

Operasi ransomware LockBit telah merilis ‘LockBit 3.0,’ memperkenalkan program hadiah bug ransomware pertama dan membocorkan taktik pemerasan baru dan opsi pembayaran cryptocurrency Zcash.

Operasi ransomware diluncurkan pada 2019 dan sejak itu berkembang menjadi operasi ransomware paling produktif, terhitung 40% dari semua serangan ransomware yang diketahui pada Mei 2022.

Selama akhir pekan, geng kejahatan dunia maya merilis operasi ransomware-as-a-service (RaaS) yang diubah yang disebut LockBit 3.0 setelah pengujian beta selama dua bulan terakhir, dengan versi baru sudah digunakan dalam serangan.

Meskipun tidak jelas perubahan teknis apa yang dilakukan pada encryptor, catatan tebusan tidak lagi bernama ‘Restore-My-Files.txt’ dan sebagai gantinya telah dipindahkan ke format penamaan, [id].README.txt, seperti yang ditunjukkan di bawah ini.

Catatan tebusan LockBit 3.0
Sumber: BleepingComputer

Dengan dirilisnya LockBit 3.0, operasi tersebut telah memperkenalkan program bug bounty pertama yang ditawarkan oleh geng ransomware, meminta peneliti keamanan untuk mengirimkan laporan bug dengan imbalan hadiah berkisar antara $1.000 dan $1 juta.

Program hadiah bug LockBit 3.0
Sumber: BleepingComputer

Namun, program bug bounty ini sedikit berbeda dari yang biasa digunakan oleh perusahaan yang sah, karena membantu perusahaan kriminal akan ilegal di banyak negara.

Selain itu, LockBit tidak hanya menawarkan hadiah untuk hadiah atas kerentanan tetapi juga membayar hadiah untuk “ide cemerlang” dalam meningkatkan operasi ransomware dan untuk melakukan doxxing kepada manajer program afiliasi.

Berikut ini adalah berbagai kategori karunia bug yang ditawarkan oleh operasi LockBit 3.0:

  • Bug Situs Web: Kerentanan XSS, injeksi mysql, mendapatkan shell ke situs dan banyak lagi, akan dibayar tergantung pada tingkat keparahan bug, arah utama adalah untuk mendapatkan decryptor melalui situs web bug, serta akses ke riwayat korespondensi dengan perusahaan terenkripsi.
  • Locker Bugs: Setiap kesalahan selama enkripsi oleh loker yang menyebabkan file rusak atau kemungkinan mendekripsi file tanpa mendapatkan decryptor.
  • Doxing: Kami membayar tepat satu juta dolar, tidak lebih dan tidak kurang, untuk doxing bos program afiliasi. Baik Anda seorang agen FBI atau peretas yang sangat pintar yang tahu cara menemukan siapa pun, Anda dapat mengirimi kami pesan TOX, memberi kami nama bos Anda, dan mendapatkan $1 juta dalam bentuk bitcoin atau monero untuk itu.

    • Selengkapnya

Saat membuka situs Tor untuk negosiasi LockBit 3.0 dan situs kebocoran data, pengunjung disajikan dengan logo animasi dengan berbagai ikon mata uang kripto yang berputar di sekitarnya.

Ikon cryptocurrency yang ditampilkan dalam animasi ini adalah Monero dan Bitcoin, yang sebelumnya diterima oleh operasi sebagai pembayaran tebusan, tetapi juga mencakup koin privasi yang dikenal sebagai Zcash.

Perusahaan pelacakan Cryptocurrency dan penyitaan penegakan hukum telah berulang kali menunjukkan bahwa Bitcoin dapat dilacak, dan sementara Monero adalah koin privasi, itu tidak ditawarkan untuk dijual oleh sebagian besar pertukaran crypto AS.

Zcash juga merupakan koin privasi, membuatnya lebih sulit untuk dilacak. Namun, saat ini ditawarkan untuk dijual di bursa crypto AS paling populer, Coinbase, sehingga memudahkan korban untuk membeli untuk pembayaran uang tebusan.

Namun, jika operasi ransomware beralih ke menerima pembayaran dalam koin ini, kemungkinan besar kita akan melihatnya dihapus dari bursa AS karena tekanan dari pemerintah AS.

Valery Marchive dari LeMagIT menemukan bahwa operasi LockBit 3.0 menggunakan model pemerasan baru, yang memungkinkan pelaku ancaman untuk membeli data yang dicuri selama serangan.

Salah satu file JavaScript yang digunakan oleh situs kebocoran data LockBit 3.0 baru menunjukkan dialog modal HTML baru yang memungkinkan orang untuk membeli data yang bocor di situs tersebut.

Seperti yang Anda lihat di bawah, modals akan menawarkan kemampuan untuk membeli data dan mengunduhnya baik melalui Torrent atau langsung di situs. Opsi yang tersedia dapat ditentukan berdasarkan ukuran data yang dicuri, dengan Torrent digunakan untuk dump data besar dan unduhan langsung untuk jumlah yang lebih kecil.

Sumber JavaScript menunjukkan metode pemerasan data baru
Sumber: BleepingComputer

Karena situs kebocoran data LockBit 3.0 saat ini tidak mengandung korban, tidak jelas bagaimana taktik pemerasan baru ini akan bekerja atau apakah itu diaktifkan.

LockBit adalah salah satu operasi ransomware paling aktif, dengan operator yang menghadap publik secara aktif terlibat dengan pelaku ancaman lain dan komunitas keamanan siber.

Sumber: Bleeping Computer

Google Project Zero menghasilkan percepatan dramatis dalam perbaikan bug keamanan

by

Kerentanan keamanan yang dilaporkan oleh Project Zero pada tahun 2021 ditambal rata-rata 28 hari lebih cepat daripada tahun 2019, tim peneliti keamanan nol hari Google telah mengungkapkan.

Vendor perangkat keras dan perangkat lunak membutuhkan waktu rata-rata 52 hari untuk memperbaiki kelemahan keamanan tahun lalu, jauh di bawah tenggat waktu 90 hari dan turun dari rata-rata waktu rata-rata 80 hari dua tahun sebelumnya.

Hanya satu bug yang melebihi tenggat waktu perbaikannya, meskipun 14% memerlukan masa tenggang 14 hari tambahan sebelum perbaikan yang berfungsi dirilis.

“Kami menduga bahwa tren ini mungkin disebabkan oleh fakta bahwa kebijakan pengungkapan yang bertanggung jawab telah menjadi standar de-facto di industri, dan vendor lebih siap untuk bereaksi cepat terhadap laporan dengan tenggat waktu yang berbeda,” kata Ryan Schoen dari Project Zero dalam sebuah posting blog.

“Kami juga menduga bahwa vendor telah belajar praktik terbaik dari satu sama lain, karena ada peningkatan transparansi dalam industri ini.”

Namun, Schoen memperingatkan bahwa laporan Project Zero mungkin merupakan outlier “karena mereka dapat menerima tindakan lebih cepat karena ada risiko nyata pengungkapan publik (seperti yang akan diungkapkan tim jika kondisi tenggat waktu tidak terpenuhi) dan Project Zero adalah sumber tepercaya dari sumber yang dapat diandalkan. laporan bug”.

Sepanjang 2019, 2020, dan 2021, Project Zero melaporkan 376 masalah kepada vendor di bawah tenggat waktu perbaikan standar 90 hari, 351 (93,4%) di antaranya telah diperbaiki, sementara vendor menolak untuk memperbaiki 14 (3,7%) bug.

Pada 25 hari, Linux memiliki waktu rata-rata tercepat untuk perbaikan, diikuti oleh Google (44) dan Mozilla (46). Yang paling lambat adalah Oracle (109) tetapi dari sampel kecil tujuh bug, diikuti oleh Microsoft (83) dan Samsung (72).

Selengkapnya: Port Swigger

Serangan firmware dapat menyusupkan malware persisten di area tersembunyi pada SSD

by

Satu serangan yang dimodelkan oleh para peneliti di Universitas Korea di Seoul menargetkan area data yang tidak valid dengan informasi yang tidak terhapus yang berada di antara ruang SSD yang dapat digunakan dan area over-provisioning (OP), dan yang ukurannya bergantung pada keduanya.

Makalah penelitian menjelaskan bahwa seorang peretas dapat mengubah ukuran area OP dengan menggunakan manajer firmware, sehingga menghasilkan ruang data tidak valid yang dapat dieksploitasi.

Masalahnya di sini adalah banyak produsen SSD memilih untuk tidak menghapus area data yang tidak valid untuk menghemat sumber daya.

Ruang ini tetap diisi dengan data untuk waktu yang lama, dengan asumsi bahwa pemutusan tautan tabel pemetaan sudah cukup untuk mencegah akses yang tidak sah.

Dengan demikian, aktor ancaman yang memanfaatkan kelemahan ini dapat memperoleh akses ke informasi yang berpotensi sensitif.

Para peneliti mencatat bahwa aktivitas forensik pada memori flash NAND dapat mengungkapkan data yang belum dihapus selama lebih dari enam bulan.

Dalam model serangan kedua, area OP digunakan sebagai tempat rahasia yang tidak dapat dipantau atau dihapus oleh pengguna, tempat aktor ancaman dapat menyembunyikan malware.

Sebagai pertahanan terhadap jenis serangan pertama, para peneliti mengusulkan pembuat SSD menghapus area OP dengan algoritma penghapusan semu yang tidak akan memengaruhi kinerja waktu nyata.

Untuk jenis serangan kedua, tindakan keamanan yang berpotensi efektif terhadap penyuntikan malware di area OP adalah dengan menerapkan sistem pemantauan laju data valid-tidak valid yang mengamati rasio di dalam SSD secara real-time.

Selengkapnya: Bleeping Computer

Bug Xbox dapat memungkinkan peretas untuk menautkan tag pemain dengan email pemain

by

Microsoft telah menambal bug di situs web Xbox yang dapat memungkinkan pelaku ancaman menautkan tag (nama pengguna) Xbox ke alamat email asli pengguna.

Kerentanan tersebut dilaporkan ke Microsoft melalui program bounty bug Xbox yang baru-baru ini diluncurkan perusahaan.

Joseph “Doc” Harris, salah satu dari beberapa peneliti keamanan yang melaporkan masalah ini ke Microsoft, membagikan temuannya dengan ZDNet awal pekan ini.

Peneliti keamanan mengatakan bug tersebut terletak pada enforcement.xbox.com, portal web tempat pengguna Xbox melihat serangan terhadap profil Xbox mereka dan mengajukan banding jika mereka merasa telah ditegur secara tidak adil atas perilaku mereka di jaringan Xbox.

Setelah pengguna masuk ke situs web ini, situs Xbox Enforcement membuat file cookie di browser mereka dengan detail tentang sesi web mereka, jadi mereka tidak perlu mengautentikasi ulang saat mereka mengunjungi situs itu lagi.

Harris mengatakan bahwa file cookie portal yang disertakan berisi bidang ID pengguna (XUID) Xbox yang tidak terenkripsi.

Menggunakan alat yang disertakan dengan semua browser modern, Harris mengedit bidang XUID dan menggantinya dengan XUID dari akun pengujian yang telah dibuat dan digunakan untuk pengujian sebagai bagian dari program Xbox bug bounty.

Harris juga membagikan video bug, yang disematkan di bawah ini:

“Mencoba mengganti nilai cookie dan menyegarkan situs, dan tiba-tiba saya bisa melihat email [pengguna] lain,” kata Harris kepada ZDNet dalam sebuah wawancara minggu ini.

Sumber: ZDNet

Bug Facebook Messenger bisa saja memungkinkan peretas untuk memata-matai pengguna

by

Facebook telah memperbaiki bug keamanan utama hari ini di aplikasi Messenger untuk Android yang memungkinkan penyerang untuk melakukan dan menghubungkan panggilan audio Messenger tanpa sepengetahuan atau interaksi penelepon.

Kerentanan tersebut, yang bisa saja disalahgunakan untuk memata-matai pengguna Facebook melalui ponsel Android mereka, ditemukan selama audit keamanan oleh Natalie Silvanovich, seorang peneliti yang bekerja untuk tim keamanan Project Zero Google.

Dalam laporan bug yang dipublikasikan hari ini, Silvanovich mengatakan bug tersebut berada di protokol WebRTC yang digunakan aplikasi Messenger untuk mendukung panggilan audio dan video.

Lebih khusus lagi, Silvanovich mengatakan bahwa masalahnya ada di Session Description Protocol (SDP), bagian dari WebRTC. Protokol ini menangani data sesi untuk koneksi WebRTC, dan Silvanovich menemukan bahwa pesan SDP dapat disalahgunakan untuk menyetujui koneksi WebRTC secara otomatis tanpa interaksi pengguna.

sumber : ZDNET

Bug Misterius yang digunakan untuk Meretas iPhone dan Ponsel Android dan Tidak Ada Yang Akan Membicarakannya

by

Google menemukan setidaknya tujuh bug kritis yang dieksploitasi oleh peretas di alam liar. Tetapi setelah mengungkapkannya beberapa hari yang lalu, perusahaan belum mengungkapkan detail penting tentang siapa yang menggunakannya dan terhadap siapa.

Tim elit pemburu bug dan malware Google menemukan dan mengungkap kerentanan berdampak tinggi di Chrome, Android, Windows, dan iOS minggu lalu. Raksasa internet itu juga mengatakan bahwa berbagai kerentanan ini semuanya “dieksploitasi secara aktif di alam liar.” Dengan kata lain, peretas menggunakan bug ini untuk benar-benar meretas orang, ini sangat mengkhawatirkan.

Terlebih lagi, semua kerentanan ini dalam beberapa hal terkait satu sama lain. Berpotensi peretas yang sama menggunakannya. Menurut laporan disclosure, beberapa bug ada di library font, dan yang lain digunakan untuk keluar dari sandbox di Chrome, dan yang lainnya digunakan untuk mengendalikan keseluruhan sistem, menunjukkan beberapa bug ini adalah bagian dari rantai kerentanan yang digunakan untuk mengeksploitasi perangkat korban.

Sejauh ini, sangat sedikit informasi yang keluar tentang siapa yang mungkin telah menggunakan eksploitasi dan siapa yang mereka targetkan. Seringkali, bug dalam perangkat lunak modern ditemukan dan diungkapkan secara etis oleh peneliti keamanan, yang berarti bug telah diperbaiki sebelum dieksploitasi secara luas untuk meretas orang. Namun, dalam kasus ini, kami tahu bahwa bug tersebut digunakan untuk operasi peretasan.

Tahun lalu, Google menemukan serangkaian zero-days — kerentanan yang pada saat ditemukan tidak diketahui oleh pembuat perangkat lunak yang digunakan mata-mata untuk menargetkan komunitas Uighur. China telah melakukan kampanye penindasan fisik dan teknis yang meluas dan sistemik serta pengawasan terhadap minoritas Muslim.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Vice

Microsoft Menawarkan $100.000 Untuk Siapa Yang Dapat Meretas OS Linux Custom Mereka

by

Microsoft menawarkan peretas hadiah sejumlah $100.000 jika mereka dapat merusak sistem keamanan OS Linux custom perusahaan tersebut. Raksasa software ini membangun versi Linux yang ringkas dan custom tahun lalu untuk OS Azure Sphere, yang dirancang untuk berjalan pada chip khusus untuk platform Internet of Things (IoT).

Program bug bounty ini adalah bagian dari tantangan penelitian tiga bulan yang berlangsung dari 1 Juni hingga 31 Agustus. “Kami akan memberikan hadiah hingga $100.000 untuk skenario tertentu dalam Tantangan Riset Keamanan Azure Sphere selama periode program,” jelas Sylvie Liu, manajer program keamanan di Pusat Respons Keamanan Microsoft.

Microsoft secara khusus mencari sekelompok peneliti keamanan untuk mencoba dan merusak keamanan OS Linux-nya. Para peneliti dapat mendaftar untuk menjadi bagian dari tantangan di sini.

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: The Verge